DOMINIO 1 - GOBIERNO DE SEGURIDAD DE LA INFORMACIÓN Flashcards
¿Cuál de las siguientes es la forma MÁS efectiva de asegurarse que se resuelva el incumplimiento de las
normas de la seguridad de la información?
A. Auditorías periódicas de las áreas que no cumplen
B. Un programa de escaneo permanente de vulnerabilidades
C. Entrenamiento anual en la concienciación de la seguridad
D. Informes periódicos al comité de auditoría
D es la respuesta correcta.
Justificación:
A. Las auditorías periódicas pueden ser efectivas, pero Únicamente cuando se combinan con la presentación de informes.
B. El escaneo de vulnerabilidades tiene poco que ver con el incumplimiento de las normas.
C. El entrenamiento puede aumentar la concienciación de la gerencia en relación con la seguridad de la información, pero la concienciación no suele ser tan convincente para la gerencia como tener nombres individuales destacados en un informe de cumplimiento.
D. Informar del incumplimiento al comité de auditoría es la forma más eficaz para que las partes
implicadas tomen las medidas adecuadas para lograr el cumplimiento.
El compromiso y apoyo de la alta gerencia hacia la seguridad de la información se puede obtener MEJOR a
través de presentaciones que:
A. usen ejemplos ilustrativos de ataques efectivos,
B. expliquen el riesgo técnico para la empresa.
C. evalúen los objetivos de la empresa tomando como referencia las buenas prácticas de seguridad.
D. vinculen el riesgo de seguridad con los objetivos clave del negocio.
D es la respuesta correcta.
Justificación:
A. Las auditorías periódicas pueden ser efectivas, pero Únicamente cuando se combinan con la presentación de informes.
B. El escaneo de vulnerabilidades tiene poco que ver con el incumplimiento de las normas.
C. El entrenamiento puede aumentar la concienciación de la gerencia en relación con la seguridad de la información, pero la concienciación no suele ser tan convincente para la gerencia como tener nombres
individuales destacados en un informe de cumplimiento.
D. Informar del incumplimiento al comité de auditoría es la forma más eficaz para que las partes
implicadas tomen las medidas adecuadas para lograr el cumplimiento.
La función MÁS apropiada de la alta gerencia en apoyo a la seguridad de la información es:
A. la evaluación de los proveedores que ofrecen productos de seguridad.
B. la evaluación del riesgo para la empresa
C. la aprobación de políticas y financiamiento.
D. desarrollar normas suficientes para lograr que el riesgo sea aceptable.
C es la respuesta correcta.
Justificación:
A. La evaluación de los proveedores es responsabilidad del responsable de seguridad de la información; sin embargo, no es un rol de la alta gerencia en su apoyo a la seguridad de la información. La alta gerencia puede participar en la evaluación de los proveedores en algunas empresas, pero su rol principal es establecer la dirección de las actividades comerciales de la empresa, la supervisión y el gobierno.
B. La evaluación del riesgo es responsabilidad del director de seguridad de la información y no es un rol
para la alta gerencia en su apoyo a la seguridad de la información.
C. Las políticas son una declaración de intenciones y de dirección de la alta gerencia que deben ser
aprobadas por ésta. También debe proporcionar suficiente financiación para conseguir los objetivos seguridad de la información de la empresa. Esta es la función más apropiada de la alta gerencia en apoyo a la seguridad de la información.
D. El desarrollo de las normas que cumplen las intenciones de las políticas es una función del gestor de seguridad de la información y no es un rol para la alta gerencia en su apoyo a la seguridad de la información.
¿Cuál de los siguientes sería el MEJOR indicador de un gobierno eficaz de la seguridad de la información en
una empresa?
A. El comité de dirección aprueba los proyectos de seguridad.
B. Se brinda capacitación sobre política de seguridad a todos los gerentes.
C. La capacitación sobre seguridad se encuentra disponible para todos los empleados en la intranet.
D. El personal de TI recibe formación sobre la realización de pruebas y la aplicación de los parches
necesarios.
A es la respuesta correcta.
Justificación:
A. La existencia de un comité de dirección que aprueba todos los proyectos de seguridad es el mejor indicador de un programa de gobierno efectivo. Para garantizar la participación de todas las partes
afectadas por las consideraciones de seguridad, muchas empresas recurren a un comité directivo compuesto por altos representantes de los grupos afectados. Esta composición ayuda a lograr el consenso sobre las prioridades y los compromisos y sirve como un canal efectivo de comunicaciones para asegurar la alineación del programa de seguridad con los objetivos de negocio.
B. La capacitación o formación en la política de seguridad para todos los responsables es importante en todos los niveles de la empresa, pero no es el mejor indicador de un gobierno efectivo. El comité de dirección debe dirigir y aprobar el programa de formación como un proyecto de seguridad.
C. La disponibilidad de una formación de seguridad para todos en la intranet, aunque puede resultar beneficiosa para el programa de seguridad general, no es el mejor indicador de un gobierno efectivo, ya que es una actividad operativa de la seguridad de la información. La formación en materia de seguridad debe ser guiada y aprobada como proyecto de seguridad por el comité de dirección.
D. Incluso las empresas con poco gobierno general pueden ser efectivas a la hora de añadir parches a los sistemas de manera oportuna, pero esto no es el mejor indicador de un gobierno efectivo. Las pruebas y la aplicación de parches es una actividad operativa de la seguridad de la información y no forma parte del gobierno.
El gobierno de seguridad de la información se ve impulsado PRINCIPALMENTE por:
A. restricciones de tecnología.
B. requisitos regulatorios.
C. potencial de litigios.
D. estrategia del negocio.
D es la respuesta correcta.
Justificación:
A. Las restricciones tecnológicas no son los principales impulsores del gobierno de la seguridad de la información, aunque se pueden tener en cuenta a la hora de desarrollar el gobierno y planificar la estrategia.
B. Los requisitos regulatorios no son los impulsores principales del gobierno de la seguridad de la información, estos requisitos son abordados por el gobierno y pueden afectar a la manera en la que se desarrolla la estrategia de gobierno.
C. El potencial de litigios suele ser un aspecto del riesgo de responsabilidad y una consideración para el gobierno de la seguridad de la información, pero no es un motor principal.
D. La estrategia de negocio es el motor principal del gobierno de la seguridad de la información
porque la seguridad se debe alinear con los objetivos de negocio de la empresa, tal y como se establece en la estrategia de negocio.
¿Cuál es la MEJOR prueba de un programa de seguridad de la información maduro?
A. Existe una evaluación y análisis del riesgo exhaustivo.
B. Existe el desarrollo de una arquitectura de seguridad física.
C. Existe una declaración de aplicabilidad de los controles.
D. Existe una estrategia eficaz de seguridad de la información.
D es la respuesta correcta.
Justificación:
A. La evaluación y el análisis del riesgo son necesarios para desarrollar una estrategia y proporcionarán cierta información necesaria para desarrollarla, pero no definirán el alcance y la carta del programa de seguridad.
B. Una arquitectura de seguridad física es parte de una implementación.
C. La declaración de aplicabilidad es parte de la implementación de estrategias usando la ISO/IEC 27001 o 27002 después determinar el alcance y las responsabilidades del programa.
D. El proceso de desarrollo de las estructuras de gobierno de la seguridad de la información, lograr
la adopción por parte de la organización y desarrollo de una estrategia de implementación,
definirán el alcance y las responsabilidades del programa de seguridad.
Las inversiones en tecnologías de seguridad de la información deben basarse en:
A. evaluaciones de vulnerabilidades.
B. análisis de valor.
C. clima de negocio.
D. recomendaciones de auditoría.
B es la respuesta correcta.
Justificación:
A. Las evaluaciones de vulnerabilidades son útiles, pero no proporcionan información que ayude a determinar si el coste de la tecnología está justificado.
B. Las inversiones en tecnologías de seguridad deben estar basadas en un análisis de valor y un caso de negocio sólido. El análisis de valor proporciona una evaluación de que las características del producto consideran el caso de negocio y que el coste no es superior al impacto del riesgo de seguridad que se mitiga.
C. El valor demostradoo tiene prioridad sobre el negocio actual porque el entornocambia constantemente.
D. Basar las decisiones solo en las recomendaciones de auditoría sería reactivo por naturaleza y podría no abordar completamente las necesidades clave del negocio.
¿Cuál de las siguientes opciones es el MAYOR factor de éxito para gestionar eficazmente la seguridad de la información?
A. Un presupuesto adecuado
B. Una autoridad de nivel superior o mayor rango
C. Una tecnología robusta o sólida
D. Relaciones de negocio efectivas
D es la respuesta correcta.
Justificación:
A. Un presupuesto adecuado es importante, pero sin la cooperación y el apoyo de la Dirección, es poсо probable que el programa de seguridad sea efectivo.
B. La autoridad de alto nivel puede ser útil para comunicar a los niveles organizativos adecuados, pero la seguridad eficaz requiere persuasión, cooperación y funcionamiento en colaboración.
C. Una buena tecnología y una red robusta ayudarán sin duda a que la seguridad sea eficaz, pero son sólo una parte de lo que se necesita.
D. El apoyo para la seguridad de la información desde la Dirección es esencial para un programa de seguridad efectivo. Esto requiere desarrollar buenas relaciones en toda la empresa y, en particular,
con los directivos influyentes.
¿Cuál de las siguientes es una característica de la gestión centralizada de la seguridad de la información?
A. Más caro de administrar
B. Mayor adhesión a las políticas
C. Mejor capacidad de respuesta a las necesidades de las unidades de negocio.
D. Mayor rapidez en la resolución de las solicitudes
B es la respuesta correcta.
Justificación:
A. La gestión centralizada de seguridad de la información es generalmente menos costosa de administrar debido a las economías de escala.
B. La centralización de la gestión de la seguridad de la información permite una mayor uniformidad y un mejor cumplimiento de las políticas de seguridad.
C. Con una gestión de la seguridad de la información centralizada, la seguridad de la información suele responder menos a las necesidades específicas de las unidades de negocio debido a la mayor separación y a la mayor burocracia entre el departamento de seguridad de la información y los usuarios finales.
D. Con la gestión centralizada de seguridad de la información, la respuesta puede ser más lenta debido a una mayor separación y más burocracia entre el departamento de seguridad de la información y los usuarios finales.
Una implementación con éxito del gobierno de seguridad de la información requerirá PRIMERO:
A. formación en la concienciación de la seguridad.
B. políticas de seguridad actualizadas.
C. un equipo de gestión de incidentes de seguridad informáticos.
D. una arquitectura de seguridad.
B es la respuesta correcta.
Justificación:
A. La formación en la concienciación de la seguridad promoverá las políticas, procedimientos y el uso apropiado de los mecanismos de seguridad, pero no precederá a la implementación del gobierno de la seguridad de la información.
B. Es necesario políticas de seguridad actualizadas para alinear los objetivos de negocio de la dirección con los procesos y procedimientos de seguridad Los objetivos de gestión se traducen en la política, y la política se traduce en normas y procedimientos.
C. Un equipo de gestión de incidentes de seguridad no será el primer requisito para la implementación del gobierno de seguridad de la información y puede existir incluso si el gobierno formal es mínimo.
D. El gobierno de seguridad de la información proporciona la base para la arquitectura y se debe implementar antes de que se desarrolle una arquitectura de seguridad.
¿Cuál de las siguientes personas estaría en la MEJOR posición para patrocinar la creación de un equipo de dirección de seguridad de la información?
A. Gerente de seguridad de la información
B. Director de operaciones
C. Auditor interno
D. Asesor legal
B es la respuesta correcta.
Justificación:
A. Patrocinar la creación del comité de dirección lo debe iniciar alguien experimentado en la estrategia y dirección del negocio. Un gerente de seguridad acudiría a este grupo en busca de dirección y por tanto no estaría en la mejor posición para supervisar la formación de este grupo.
B. El director de operaciones (COO) representa a la alta dirección, que es responsable de ofrecer apoyo a las iniciativas de seguridad de la información con un tono positivo desde la parte superior. El grupo
de dirección de seguridad de la información debería estar patrocinado por el COO (alta dirección), porque esta persona tiene la autoridad (y la responsabilidad) para dirigir la participación de los jefes de las unidades de negocio y autorizar el mandato o los estatutos.
C. El auditor interno puede ser un miembro del grupo de dirección, pero no tiene la autoridad para tomar decisiones o emprender acciones para supervisar la creación del comité.
D. El asesor legal puede ser un miembro de un grupo de dirección, pero no tiene la autoridad para tomar decisiones o emprender acciones para supervisar la creación del comité.
¿Cuál de los siguientes factores es el MÁS significativo al determinar el apetito de riesgo de una empresa?
A. La naturaleza y el alcance de las amenazas
B. Las políticas organizacionales
C. La estrategia general de seguridad
D. La cultura organizacional
D es la respuesta correcta.
Justificación:
A. El entorno de amenazas cambia continuamente y la identificación de riesgos para la empresa no determina su apetito o sus límites tolerables.
B. Las políticas se redactan para apoyar los objetivos y los parámetros del negocio, y puedenhacer referencia al apetito de riesgo, pero como no son un valor constante, el apetito de riesgo se debe determinar en el transcurso de una evaluación del riesgo.
C. El apetito de riesgo es un dato para la estrategia de la seguridad porque la estrategia está enfocada parcialmente en mitigar el riesgo hasta niveles aceptables.
D. El grado de rechazo al riesgo o de agresividad al riesgo, en el contexto de la capacidad objetiva de la empresa para recuperarse de las pérdidas, es el principal factor para determinar la propensión al
riesgo.
¿Cuándo se debería emitir una petición de propuestas?
A. En la etapa de viabilidad de un proyecto
B. Tras la aprobación del proyecto por la administración
C. Previo al desarrollo del presupuesto de un proyecto D. Cuando se desarrolla el caso de negocio
C es la respuesta correcta.
Justificación:
A. La evaluación de la viabilidad de un proyecto involucra diversos factores que se deben determinar antes de emitir una petición de propuesta (RFP).
B. Un RFP es un documento que se distribuye a los proveedores requiriéndoles que envíen una propuesta para desarrollar o proporcionar una solución. La aprobación final por parte de la dirección es probable que ocurra después de recibir las respuestas a una RFP.
C. El desarrollo del presupuesto de un proyecto depende de las respuestas a una RFP.
D. El caso de negocio puede desarrollarse como parte de la determinación de la viabilidad, lo cual ocurre previo a la emisión de la RFP.
¿Cuál de las siguientes opciones es la MÁS apropiada para incluir en una estrategia de seguridad de la información?
A. Los controles de negocio designados como controles clave
B. Procesos, métodos, herramientas y técnicas de seguridad
C. Conjuntos de reglas de cortafuegos, parámetros por defecto de red y parámetros de sistema de detección de intrusos
D. Estimaciones de presupuesto para adquirir herramientas específicas de seguridad
B es la respuesta correcta.
Justificación:
A. Los controles del negocio clave son solo una parte de la estrategia de seguridad y deben estar
relacionados con los objetivos de negocio.
**B. Un conjunto de objetivos de seguridad apoyados por procesos, métodos, herramientas y técnicas constituye una estrategia de seguridad.
**
C. Los conjuntos de reglas de cortafuegos, los parámetros de red por defecto y los parámetros del sistema de detección de intrusos son detalles técnicos sujetos a cambio periódico, y no son el contenido apropiado para un documento de estrategia.
D. Los presupuestos generalmente no están incluidos en una estrategia de seguridad de la información. Adicionalmente, hasta que no se formule y aplique la estrategia de seguridad de la información, no se identificarán las herramientas específicas y no se dispondrá de estimaciones de costes concretas.
Un gerente de seguridad de la información puede conseguir MEJOR el compromiso y el apoyo de la alta gerencia enfatizando en:
A. el riesgo organizacional.
B. las métricas de desempeño.
C. las necesidades de seguridad.
D. las responsabilidades de las unidades organizacionales.
A es la respuesta correcta.
Justificación:
A. La seguridad de la información existe para hacer frente a los riesgos para la empresa que pueden impedir el logro de sus objetivos. El riesgo organizacional será el argumento más convincente para
conseguir el compromiso y el apoyo de la dirección.
B. Las métricas de desempeño solo proporcionarán información y conocimientos operacionales sobre la función de la seguridad de la información, pero no sobre el valor del negocio, que enfatizará una necesidad
que constituye la base del apoyo de la alta dirección.
C. El responsable de seguridad de la información debe identificar las necesidades de seguridad de la información basado en las necesidades organizacionales; sin embargo, las necesidades de seguridad por sí
solas no son el factor en el que hay que hacer hincapié para conseguir el compromiso de la alta gerencia.
D. Identificar las responsabilidades organizacionales es una tarea para la dirección y no está relacionada conel objetivo de conseguir el compromiso de la alta dirección con la seguridad de la información.
¿Cuál de las siguientes funciones representaría un conflicto de intereses para un gerente de seguridad de la información?
A. Evaluación de terceros solicitando conectividad
B. Evaluación de la adecuación de planes de recuperación de desastre
C. Aprobación final de las políticas de seguridad de la información
D. Supervisión del acatamiento de los controles físicos de seguridad
**C es la respuesta correcta.
Justificación:
A. La evaluación de terceros que solicitan conectividad es una práctica aceptable y no presenta ningún
conflicto de interés.
B. La evaluación de los planes de recuperación de desastres es una práctica aceptable y no presenta ningún
conflicto de interés.
C. Como la alta gerencia es enúltima instancia responsable de seguridad de la información, debe aprobar las declaraciones de política de seguridad de la información; el responsable de seguridad de la información no debe tener la aprobación final porque representaría un conflicto de intereses.
D. El control de la adhesión a los controles de la seguridad física es una práctica aceptable y no presenta
ningún conflicto de interés.
¿Cuál de las siguientes situaciones se debe corregir PRIMERO para asegurar un gobierno efectivo de seguridad de la información en una empresa?
A. El departamento de seguridad de la información tiene dificultad para llenar las vacantes.
B. El director de operaciones aprueba los cambios de política de seguridad.
C. El comité de supervisión de seguridad de la información solo se reúne trimestralmente.
D. El gerente del centro de datos tiene la autorización final de todos los proyectos de seguridad.
D es la respuesta correcta.
Justificación:
A. La dificultad en llenar las vacantes no es infrecuente debido a la escasez de profesionales cualificados en
seguridad de la información.
B. Es importante que alguien de la alta dirección, como el director de operaciones, apruebe las políticas de
seguridad para asegurarse de que sean acordes con la intención y dirección de la gerencia.
C. No es inapropiado que un comité de supervisión o de dirección se reúna trimestralmente.
D. Debe existir un comité de dirección que apruebe todos los proyectos de seguridad. El hecho de que el director del centro de datos tenga la aprobación final de todos los proyectos de seguridad indica que no se está usando un comité de dirección y que la seguridad de la información está relegada a un lugar subordinado en la empresa. Esto indicaría un fallo del gobierno de seguridad de la información y sería necesario corregirlo primero.
¿Cuál de los siguientes requisitos tendría el nivel de prioridad MÁS BAJO en seguridad de información?
A. Técnicos
B. Regulatorios
C. Privacidad
D. Negocio
A es la respuesta correcta.
Justificación:
A. Las prioridades en materia de seguridad de la información pueden a veces prevalecer sobre las especificaciones técnicas, que deben entonces reescribirse para ajustarse a las normas mínimas de seguridad.
B. Los requisitos regulatorios son impuestos por el gobierno y, por lo tanto, no pueden ser anulados.
C. Los requisitos de privacidad suelen ser obligatorios por parte del gobierno y, por lo tanto, no son susceptibles de ser anulados
D. Las necesidades del negocio deben ser siempre preferentes a la hora de decidir las prioridades en materia
de seguridad de la información.
¿Dónde deben identificarse inicialmente las necesidades de recursos para la seguridad de la información?
A. En las políticas
B. En la arquitectura
C. En la estrategia
D. En los procedimientos
C es la respuesta correcta.
Justificación:
A. Las políticas pueden especificar algunos requisitos, pero se desarrollan durante la implementación de la
estrategia.
B. La arquitectura debe implementar las políticas y las normas.
C. La estrategia debe definir inicialmente los requisitos de los recursos necesarios para implementar el programa. Esto es diferente desde el nivel de detalle táctico necesario para identificar los recursos específicos.
D. Los procedimientos definirán los procesos de adquisición de recursos, pero no especificarán requisitos.
Las tecnologías de seguridad deben seleccionarse PRINCIPALMENTE en función de su:
A. capacidad para mitigar el riesgo del negocio.
B. evaluaciones en las publicaciones comerciales.
C. uso de tecnologías nuevas y emergentes.
D. beneficios en comparación con sus costes.
D es la respuesta correcta.
Justificación:
A. Un criterio habitual de evaluación para la selección apropiada de cualquier tecnología de seguridad es su capacidad para reducir o eliminar el riesgo del negocio de manera rentable.
B. Las evaluaciones de las publicaciones comerciales pueden no proporcionar toda la información sobre las capacidades de la tecnología y pueden estar escritas por patrocinadores o personas influyentes.
C. Aunque las tecnologías nuevas o emergentes pueden ofrecer beneficios potenciales, no se ha comprobado su efectividad con eltiempo, y estoreducesu aceptabilidad como baseeprincipal de selección.
D. Las inversiones en tecnologías de seguridad deben basarse en su valor general en relación con su coste; el valor puede demostrarse en términos de mitigación de riesgos.
¿Qué actividad debe realizar PRIMERO el responsable de seguridad de la información tras comprobar que el cumplimiento de un conjunto de normas es deficiente?
A. Iniciar el proceso de excepción.
B. Modificar la política para abordar el riesgo.
C. Incrementar la exigencia de cumplimiento.
D. Realizar una evaluación de riesgos.
D es la respuesta correcta.
Justificación:
A. El proceso de excepción puede ser utilizado después de evaluar el riesgo de incumplimiento y determinar si se requieren controles compensatorios.
B. Modificar la política no es necesario, a menos que no haya una norma y una política aplicables.
C. No es apropiado aumentar la exigencia de cumplimiento hasta que el gerente de seguridad de 1la información haya determinado el alcance del riesgo que presenta un cumplimiento débil.
D. La primera acción después de hallar un incumplimiento con normas específicas debería ser determinar el riesgo para la empresa y el impacto potencial (tanto para el cumplimiento como para el riesgo de seguridad).
¿Qué debe conseguir la gestión del cambio desde la perspectiva de la gestión de riesgos?
A. La debe operar la seguridad de la información para garantizar el mantenimiento de la seguridad.
B. La debe supervisar el comité de dirección debido a su importancia.
C. Debe ser secundaria a la gestión de la configuración y liberación.
D. Debe asegurar que cualquier cambio no implicará ningún riesgo que supere el nivel de riesgo aceptable.
D es la respuesta correcta.
Justificación:
A. No es importante quién supervisa el proceso de gestión de cambios siempre y cuando tenga lugar la notificación y se implemente un proceso coherente.
B. La supervisión de la gestión de cambios puede o no puede ser la responsabilidad del comité de dirección.
C. La gestión de cambios es tan esencial como la gestión de la configuración y liberación para gestionar los riesgos de manera adecuada. La gestión de la configuración y liberación puede ser incluida como parte del proceso de gestión de cambios.
D. Es muy importante que la gestión del cambio garantice que cualquier nuevo cambio o modificación no afectará al nivel de riesgo existente ni superará el apetito de riesgo. En general, debe realizarse una reevaluación de los riesgos en caso de que se produzcan cambios importantes, con el fin de ajustarse al nivel de seguridad aceptable.
¿Cuál de las siguientes es una característica de la gestión descentralizada de la seguridad de la información en una empresa geográficamente dispersa?
A. Más uniformidad en la calidad de servicio
B. Mayor adhesión a las políticas
C. Mejor alineación con las necesidades de la unidad de negocio
D. Más ahorro en los costes totales de operación
C es la respuesta correcta.
Justificación:
A. La uniformidad en la calidad de servicio tiende a variar de unidad a unidad.
B. Es posible que la adhesión a las políticas varíe de modo considerable entre las diferentes unidades de negocio.
C. La descentralización de la gestión de la seguridad de la información suele dar lugar a una mejor alineación con las necesidades de las unidades de negocio, ya que la gestión de la seguridad está más cerca del usuario final y puede conocer el escenario local de riesgos y amenazas.
D. La descentralización de la gestión de seguridad de la información suele ser más costosa de administrar debido a la falta de economías de escala.
¿Cuál de las siguientes es el puesto MÁS apropiado para patrocinar el diseño y la implementación de una nueva infraestructura de seguridad en una gran empresa global?
A. Director de seguridad
B. Director de operaciones
C. Responsable de privacidad de datos
D. Director de asesoría legal
B es la respuesta correcta.
Justificación:
A. Es posible que el responsable de seguridad sepa lo que se necesita, pero no tendrá la autoridad para promover iniciativas. Un patrocinador debe tener una gran influencia en toda la empresa.
B. El responsable de operaciones tiene la autoridad y será responsable de patrocinar el diseño y la implementación de la nueva infraestructura de seguridad. Eso está en línea con el compromiso de la alta dirección para apoyar la seguridad de la información.
C. Es posible que el responsable de privacidad no tenga el conocimiento de las operaciones diarias de la empresa ni de los requisitos generales de seguridad para garantizar una orientación adecuada; tampoco tendrá este cargo la autoridad para patrocinar la iniciativa.
D. El responsable de asesoría legal suele tener un enfoque jurídico limitado a los contratos y las acciones y otros requisitos normativos y tiene poco conocimiento de los requisitos generales de seguridad de la organización. Además, en su posición es posible que no tenga la autoridad para patrocinar la iniciativa.
El elemento MÁS importante a considerar al desarrollar un caso de negocio para un proyecto es:
A. la viabilidad y propuesta de valor.
B. el compromiso de los recursos y el tiempo.
C. el análisis financiero de los beneficios.
D. la alineación con los objetivos de la organización.
A es la respuesta correcta.
Justificación:
A. La viabilidad y el hecho de que la propuesta de valor tenga sentido serán consideraciones importantes para que un proyecto siga adelante.
B. Los recursos y el tiempo necesarios son importantes, pero son un componente de la propuesta de valor en términos de costes.
C. El análisis financiero de los beneficios es un componente de la propuesta de valor, pero normalmente se deben proponer otros beneficios.
D. La propuesta de valor debe incluir la alineación con los objetivos del negocio.
Se le ha pedido a un responsable de seguridad de la información recién nombrado que redefina los requisitos seguridad de la información debido a que la alta dirección no está satisfecha con su estado actual. ¿Cuál de las siguientes opciones considerará el gerente de seguridad de la información como la MÁS crítica?
A. Un marco industrial
B. La estrategia de negocio
C. La infraestructura de tecnología
D. Las competencias del usuario
B es la respuesta correcta.
Justificación:
A. Los marcos industriales son útiles para mejorar la implementación de seguridad en la medida en que se alineen con, y respalden, los objetivos del negocio.
B. El factor más crítico a considerar para definir los requisitos de seguridad de la información es la estrategia de negocio, ya que todo lo que hace el negocio, incluida la seguridad de la información, se realiza solo para llevar a cabo la estrategia del negocio.
C. Los requisitos de seguridad son impulsados por las prácticas, los procedimientos y la política de seguridad de la información. Hay que tener en cuenta la infraestructura tecnológica a la hora de implantar la seguridad, pero si la infraestructura actual no puede soportar los requisitos de seguridad de
la información que están alineados con la estrategia empresarial, también habrá que reevaluar la infraestructura.
D. Las competencias de los usuarios reflejan un estado actual y pueden ser útiles para trazar un camino hacia el menor coste, pero las competencias pueden mejorarse proporcionando formación para que los usuarios alcancen el nivel requerido. La estrategia del negocio es el impulsor de los requisitos de seguridad de la información (y todas las otras actividades).
El objetivo PRINCIPAL del desarrollo de una estrategia de seguridad de la información es:
A. establecer métrica de seguridad y control del desempeño.
B. educar a los dueños del proceso de negocio con respecto a sus funciones.
C. garantizar el cumplimiento de los requisitos legales y regulatorios.
D. apoyar los objetivos del negocio de la empresa.
D es la respuesta correcta.
Justificación:
A. Establecer las métricas de seguridad y el control del desempeño es muy importante porque indican el logro de objetivos de seguridad, pero esto es solo un aspecto de los requisitos principales para apoyar los objetivos de negocio.
B. Educar a los propietarios del proceso de negocio está subordinado a apoyar los objetivos de negocio y es solo un aspecto secundario en el desarrollo de una estrategia de seguridad de la información.
C. Cumplir los requisitos legales y regulatorios es solo uno de los objetivos de la estrategia necesaria para apoyar los objetivos de negocio.
D. El objetivo de la seguridad de la información en una empresa es ayudar a la empresa a conseguir sus objetivos y es el objetivo principal de una estrategia de la seguridad de la información.
El compromiso y el apoyo de la alta dirección a la seguridad de la información puede ser MEJOR mediante:
A. una política formal de seguridad patrocinada por el director general.
B. formación periódica de concienciación en seguridad para los empleados.
C. revisión periódica de la alineación con los objetivos de gestión empresarial.
D. la aprobación de la estrategia de seguridad de la información por parte de la alta dirección.
C es la respuesta correcta.
Justificación:
A. A pesar de que la aprobación del director general de la política de seguridad contribuye a la buena visibilidad y demuestra su compromiso, es un evento único y discreto que puede ser olvidado rápidamente por la alta dirección.
B. La formación en concienciación de la seguridad para los empleados no tendrá tanto efecto sobre el compromiso de la alta dirección como la alineación con los objetivos de negocio.
C. Garantizar que las actividades de seguridad siguen alineadas y apoyan los objetivos empresariales es fundamental para obtener un mayor apoyo de la dirección. La revisión periódica de las actividades de seguridad proporcionará visibilidad regular a la alta gerencia.
D. Aunque la aprobación de la estrategia de seguridad por parte de la alta dirección proporciona una buena visibilidad y demuestra el compromiso de la cúpula directiva, se trata de un evento único y discreto que
puede ser olvidado rápidamente por la alta dirección.
¿Cuál de las siguientes actividades es la que MÁS comúnmente corresponde a un comité directivo de
seguridad de la información?
A. Entrevistar a los candidatos para las posiciones de especialista en seguridad de información
B. Desarrollar el contenido para los programas de conocimiento de la seguridad
C. Priorizar las iniciativas de seguridad de la información
D. Aprobar el acceso a sistemas financieros críticos
C es la respuesta correcta.
Justificación:
A. Las entrevistas a los especialistas las debería hacer el gerente de seguridadde la información.
B. El desarrollo del contenido del programa debe ser realizado por el personal de seguridad de la
información.
C. La priorización de las iniciativas de seguridad de la información corresponde a un comité directivo de seguridad de la información.
D. Aprobar el acceso a sistemas financieros críticos es la responsabilidad de los propietarios individuales de
los datos de sistemas.
¿Cuál de los siguientes es el factor MÁS importante a la hora de diseñar la arquitectura de seguridad de la información?
A. Las interfaces técnicas de la plataforma
B. La escalabilidad de la red
C. Las metodologías de desarrollo
D. Los requisitos de las partes interesadas
D es la respuesta correcta.
Justificación:
A. La interoperabilidad es importante, pero carece de mérito si se logra una solución tecnológicamente elegante que no satisface las necesidades del negocio.
B. La escalabilidad es importante, pero solo en la medida en que la arquitectura cumpla los requisitos de las partes interesadas.
C. Existen varias metodologías viables de desarrollo, y la elección de la que se va a utilizar no es particularmente importante, siempre que satisfaga las necesidades de la empresa.
D. El factor más importante para el diseño de la arquitectura de seguridad de la información es el de las salvaguardas para los requisitos de las partes interesadas definidos por las necesidades de negocio.
El grado de apoyo de la alta dirección a la aplicación de la estrategia y las actividades de gestión de riesgos de un programa de seguridad de la información determinará PRIMERO:
A. el estatuto.
B. el presupuesto.
C. la política.
D. la estructura jerárquica.
**A es la respuesta correcta.
Justificación:
A. Sin el apoyo de la dirección, el programa nunca podrá establecer un estatuto que le permita funcionar
dentro del entorno. Todas las demás opciones siguen el estatuto.
B. Sin un estatuto para el programa, no habrá presupuesto porque el programa no existirá.
C. Se necesita un estatuto para establecer el programa antes de que se pueda desarrollar la política.
D. La estructura jerárquica no se establecerá hasta que el programa tenga un estatuto.
¿Cuál de las siguientes es la tarea MÁS apropiada para que realice un responsable de seguridad de la información?
A. Actualizar los parámetros de seguridad a nivel de plataforma.
B. Llevar a cabo ejercicios de prueba de recuperación de desastres.
C. Aprobar el acceso a sistemas financieros críticos.
D. Desarrollar una estrategia de seguridad de la información.
D es la respuesta correcta.
Justificación:
A. La actualización de los parámetros de seguridad a nivel de plataforma suele ser realizada por personal con menores responsabilidades porque es una tarea básica para los administradores de TI.
B. Los ejercicios de prueba de recuperación ante desastres normalmente los haría el personal de operaciones
de los equipos de BCP/DR y de otros departamentos.
C. Aprobar el acceso a sistemas financieros críticos es responsabilidad de los propietarios de los datos.
D. Desarrollar una estrategia para la seguridad de la información sería la tarea más adecuada para el responsable de seguridad de la información.
Cuando un gerente de seguridad de la información está desarrollando un plan estratégico para seguridad de información, el calendario para el plan debería:
A. estar alineado con el plan estratégico de TI.
B. estar basado en la tasa actual de cambio tecnológico.
C. ser de tres a cinco años tanto para hardware como para software.
D. estar alineado con la estrategia del negocio.
D es la respuesta correcta.
Justificación:
A. Cualquier planificación para la seguridad de información debe estar debidamente alineada con las necesidades del negocio y no sería necesario que lo estuviera con el plan estratégico de TI.
B. Las necesidades tecnológicas no deberían tener prioridad sobre las del negocio y la estrategia de seguridad de la información no se puede basar en la tasa actual de cambio tecnológico sin establecer primero si está alineada con las necesidades del negocio.
C. La planificación no debe hacerse con un calendario artificial que no tiene en cuenta necesidades del negocio: un calendario de tres a cinco años debe estar justificar y parece arbitrario.
D. Cualquier plan para la seguridad de información debe estar debidamente alineado con la estrategia del negocio.
¿Cuál es la información MÁS importante que debe incluir un plan estratégico para la seguridad de información?
A. Requisitos de contratación de personal de seguridad de la información
B. Actual estado y futuro estado deseado
C. Requisitos de inversión de capital de TI
D. Declaración de misión de la seguridad de la información
B es la respuesta correcta.
Justificación:
A. Las necesidades de personal se derivan de los plazos de ejecución y los requisitos del plan estratégico.
B. Lo más importante es presentar una visión de futuro y, a continuación, crear una hoja de ruta desde el estado actual hasta el estado futuro deseado, basándose en un análisis de carencias que identifique los requisitos para alcanzar el estado futuro.
C. Los requisitos de inversión de capital de TI no se determinan a nivel del plan estratégico, sino a partir de una evaluación financiera y operativa de los activos de capital necesarios para conseguir los objetivos del plan estratégico.
D. La declaración de misión suele ser una declaración breve y de alto nivel de los objetivos generales de la organización y sólo afecta directamente a la estrategia de seguridad de la información al establecer el contexto.
Los proyectos de seguridad de la información deben priorizarse en función de:
A. el tiempo requerido para la implantación.
B. el impacto sobre la empresa.
C. el coste total de la implantación.
D. la combinación de recursos que se requiere.
B es la respuesta correcta.
Justificación:
A. El tiempo requerido para la implantación puede tener impacto sobre la empresa, pero está subordinado al impacto global del proyecto en la misma.
B. La priorización de los proyectos de seguridad de la información se debe evaluar en función del impacto positivo que tendrán sobre la empresa.
C. El coste total de la implantación es un aspecto del proyecto de seguridad de la información, pero no es el factor por el que se evalúa la priorización.
D. La combinación de recursos necesarios puede ser un factor de entrega, pero no es especialmente relevante
para priorizar los proyectos de seguridad.
¿Cuál de las siguientes opciones prepararía MEJOR a un gerente de seguridad de la información para las revisiones regulatorias?
A. Asignar un administrador de seguridad de la información como enlace regulatorio.
B. Realizar autoevaluaciones con directrices e informes regulatorios.
C. Evaluar los informes regulatorios anteriores con los comentarios de los propietarios del proceso.
D. Garantizar que el departamento legal apruebe todas las consultas regulatorias.
B es la respuesta correcta.
Justificación:
A. Dirigir a los reguladores a una persona o departamento específicos no es un método que prepare para una revisión regulatoria, ya que solo servirá como acción para facilitar la revisión.
B. Las autoevaluaciones proporcionan la mejor retroalimentación en cuanto a cumplimiento o preparación y permiten la identificación de los elementos que requieren corrección
C. Evaluar los informes regulatorios anteriores no es tan efectivo como las autoevaluaciones porque las condiciones pueden haber cambiado.
D. El departamento legal debe revisar todas las consultas formales, pero esto no ayuda a prepararse para
una revisión regulatoria.
Desde la perspectiva de un gerente de seguridad de la información, ¿cuál es el beneficio inmediato de funciones y responsabilidades claramente definidas?
A. Mayor cumplimiento de las políticas
B. Mejores flujos de procedimiento
C. Segregación de funciones
D. Mejor rendición de cuentas
D es la respuesta correcta.
Justificación:
A. La definición de funciones y responsabilidades no mejora por sí sola el cumplimiento de las políticas si no se realiza un seguimiento adecuado y se aplica la rendición de cuentas.
B. Los flujos de los procedimientos no se ven necesariamente afectados por la definición de roles y responsabilidades.
C. Es más probable que la segregación de las funciones se produzca como resultado de la aplicación del cumplimiento de políticas que solo por definir roles y responsabilidades, aunque sea un primer paso necesario.
D. Definir roles y responsabilidades aclara quien es responsable del desempeño y los resultados.
¿Cuál de los siguientes roles es responsable de la obligación legal y regulatoria por los fallos de seguridad en la empresa?
A. Director de seguridad
B. Director de asesoría legal
C. El comité de dirección y la alta gerencia
D. El grupo de dirección de seguridad de la información
C es la respuesta correcta.
Justificación:
A. El director de seguridad no es responsable de la obligación legal y regulatoria de la empresa que pueda aparecer por los fallos de seguridad.
B. El director de asesoría legal no es individualmente responsable de la obligación legal y regulatoria por los fallos de seguridad en la empresa.
C. El consejo de administración y la alta dirección son los responsables últimos de garantizar que la normativa se cumpla adecuadamente y tienen la responsabilidad legal y reglamentaria por los fallos de seguridad en la empresa.
D. El grupo de dirección de seguridad de la información no es responsable de la obligación legal y regulatoria que pueda aparecer por los fallos de seguridad en la empresa.
Para implementar un gobierno de seguridad de la información una organización debería PRIMERO:
A. adoptar normas de seguridad.
B. determinar las referencias de seguridad.
C. definir la estrategia de seguridad.
D. establecer políticas de seguridad.
C es la respuesta correcta.
Justificación:
A. La adopción de unas normas de seguridad adecuadas se basa en la implementación de la intención de las políticas y no es el primer paso, ya que sigue al desarrollo de políticas que apoyan la estrategia.
B. Las líneas básicas de seguridad se establecen como resultado de determinar el riesgo aceptable. Su determinación no es el primer paso en la implementación de la seguridad de la información, sino que se considera un requisito anterior al desarrollo de estrategias.
C. El gobierno de la seguridad se basa en la estrategia de seguridad de la información, que es el primer paso en la implementación. Primero se debe desarrollar una estrategia de la seguridad de la información que cumpla y apoye los objetivos de negocio.
D. Las políticas son un instrumento para el gobierno y se desarrollan para ayudar a la estrategia; las políticas no se encuentran entre las primeras actividades que se llevan a cabo para implementar el gobierno de la seguridad de la información.
El requisito MÁS básico para un programa de gobierno de seguridad de la información es:
A. estar alineado con la estrategia corporativa del negocio.
B. basarse en un método correcto de gestión de riesgos.
C. proporcionar un cumplimiento regulatorio adecuado.
D. proporcionar las mejores prácticas para las iniciativas de seguridad.
A es la respuesta correcta.
Justificación:
A. Para que sea efectivo y recibir apoyo de la alta dirección, un programa de seguridad de la información debe estar alineado con la estrategia de negocio corporativa.
B. Un enfoque de la gestión de riesgos que sea efectivo puede ser de poca ayuda para una empresa si no aborda de forma específica la estrategia de negocios de la empresa y es coherente con esta.
C. El programa de gobierno debe abordar los requisitos regulatorios que afectan a la empresa hasta donde determine la gerencia, pero no es el requisito más básico.
D. Las buenas prácticas son la base del programa de gobierno, pero no tienen prioridad sobre la estrategia de negocio como requisito más básico.
Hacer cumplir la política de seguridad de la información es la responsabilidad del:
A. comité de dirección de seguridad.
B. director de información.
C. director de seguridad de la información.
D. director de cumplimiento.
C es la respuesta correcta.
Justificación:
A. El comité de dirección de seguridad guiará y se asegurará de que la política de seguridad esté alineada con los objetivos de negocio, pero no es responsable de su aplicación.
B. El director de informática puede participar hasta cierto punto en la aplicación de la política, pero no es directamente responsables de ello.
C. Hacer cumplir la política de seguridad de la información es la responsabilidad del director de seguridad de información.
D. El director de cumplimiento suele participar en determinar el nivel de cumplimiento, pero no suele participar directamente en la aplicación de la política.
Un gerente de seguridad de la información en una empresa global tiene que asegurar que el programa local de seguridad de la información cumplirá inicialmente con:
A. la política de privacidad de datos corporativos.
B. la política de privacidad de datos donde se recogen los datos.
C. la política de privacidad de datos del país de la sede central.
D. la directiva de privacidad de datos aplicable globalmente.
B es la respuesta correcta.
Justificación:
A. La política de privacidad de datos corporativos no puede dictar que la política de seguridad de la información se ajuste a ella, ya que aborda una función diferente y puede ser un subconjunto en sí misma.
B. Como filial, la entidad local tendrá que garantizar que el programa de seguridad de la información cumple las leyes locales del país en lo que respecta a protección de datos, privacidad y seguridad. En caso de incumplimiento, sería posible considerar responsable a la alta dirección.
C. Las directivas de la política de privacidad de datos del país donde se encuentra la sede central pueden no ser aplicables, ya que las políticas de la empresa deben cumplir los requisitos de las leyes locales que sean de aplicación y no las leyes aplicables en la sede central donde se habría elaborado la política de privacidad. Las leyes de privacidad y protección de datos son específicas de cada país.
D. Además, al diferir las regulaciones locales del país en que se encuentra la sede central de la empresa, es improbable que una política a nivel del grupo resuelva todos los requisitos legales locales. Las leyes de privacidad y protección de datos son específicas de cada país.
La alineación estratégica efectiva del programa de seguridad de la información requiere:
A. la participación activa de un comité de dirección.
B. la creación de una unidad de negocio de planificación estratégica.
C. la coordinación periódica con los propietarios del negocio.
D. la aceptación de las limitaciones técnicas y culturales.
C es la respuesta correcta.
Justificación:
A. La participación activa de un comité de dirección formado por los propietarios del negocio o por sus delegados es una manera de conseguir la alineación estratégica, pero un comité de dirección no es la única manera de conseguir este objetivo.
B. Si la empresa tiene una unidad de planificación estratégica de negocio, la participación activa en sus actividades puede ayudar a comprender las futuras direcciones del negocio y garantizar que se incluyan cuestiones de seguridad en el proceso de planificación, pero la alineación estratégica del programa de seguridad de la información no requiere la creación de dicha unidad.
C. La alineación estratégica efectiva del programa de seguridad de la información requiere que una comprensión de los planes y objetivos empresariales determinados por los han determinado los propietarios del negocio. Aunque el método de conseguir una coordinación o interacción regular con los propietarios del negocio puede variar según el tamaño y la estructura de la empresa, la interacción en sí misma es un requisito.
D. La alineación de un programa de seguridad de la información debe tener en cuenta la cultura y la tecnología existente, pero la seguridad de la información apoya los objetivos de negocio de la empresa, que pueden incluir cambios en la cultura y la tecnología actual Estos aspectos de la empresa no se deben aceptar como base para la alineación del programa cuando no están alineados con los objetivos de negocio.
Lo MÁS importante de declaración de privacidad en un sitio web de comercio electrónico de una compañía incluya:
A. un enunciado que establezca lo que hará la compañía con la información que recolecta.
B. una cláusula de exención de responsabilidad relacionada con la precisión de la información contenida en su sitio web.
C. información técnica sobre la manera en que se protege la información.
D. un enunciado relacionado con el lugar donde se guarda la información.
A es la respuesta correcta.
Justificación:
A. La mayoría de las leyes y normativas sobre privacidad requieren que se revele cómo se utilizará la información.
B. Una cláusula de exención de responsabilidad puede ser prudente, pero no es necesaria ya que no se refiere a la privacidad de datos.
C. No es obligatorio ni deseable publicar los detalles técnicos relacionados con la manera en que se protege la información en el sitio web.
D. No es obligatorio decir dónde se alberga la información.
Los objetivos de negocio definen la dirección estratégica de la empresa. Las metas funcionales definen la dirección táctica de una función del negocio. Los objetivos de seguridad definen la dirección de la seguridad de la empresa. ¿Cuál es la relación MÁS importante entre estos conceptos?
A. Las metas funcionales se derivan de los objetivos de seguridad.
B. Los objetivos de negocio se derivan de los objetivos de seguridad.
C. Los objetivos de seguridad se derivan de los objetivos de negocio.
D. Los objetivos de negocio y de seguridad se deben definir independientemente.
C es la respuesta correcta.
Justificación:
A. Los objetivos funcionales y de seguridad deben estar alineados a nivel operativo, pero ninguno deriva del otro.
B. La seguridad no es un fin en sí misma y debe servir a los objetivos generales del negocio. Por tanto, los objetivos de negocio no se derivan de los objetivos de seguridad.
C. Los objetivos de seguridad deben derivarse de los objetivos de negocio, que se desarrollan en función de la estrategia empresarial global. Esta es la relación más importante, ya que depende de la estrategia de negocio definida por la alta dirección.
D. Si los objetivos de seguridad se definen independientemente de los objetivos de negocio, la función de seguridad no apoyaría la estrategia general del negocio o podría obstaculizar a consecución de los
objetivos globales del negocio.
Un gerente de seguridad está preparando un informe para obtener el compromiso de la dirección ejecutiva con un programa de seguridad. ¿La inclusión de cuál de los siguientes elementos sería de MAS valor?
A. Ejemplos de incidentes reales en empresas similares
B. Declaración de las buenas prácticas generalmente aceptadas
C. Asociación de amenazas realistas con los objetivos de la empresa
D. Análisis del riesgo tecnológico actual
C es la respuesta correcta.
Justificación:
A. Aunque los ejemplos de incidentes en otras empresas pueden ayudar a obtener la aceptación de la alta dirección, el programa de seguridad debe basarse en amenazas realistas para los objetivos corporativos de la empresa.
B. Las buenas prácticas son útiles y pueden ser la base para el programa de seguridad, lo que puede mejorar la aceptación de la alta dirección. Sin embargo, esto puede no ser un argumento sustancial para obtener el compromiso de la dirección ejecutiva.
C. Vincular amenazas realistas a objetivos de negocio clave llamará directamente la atención de la directiva y proporcionará a la gerencia ejecutiva la comprensión necesaria del escenario de riesgo para garantizar su compromiso con el programa de seguridad.
D. El análisis de los riesgos tecnológicos actuales puede mejorar el compromiso de la alta gerencia, pero pueden no tener tanto peso como las amenazas realistas a los objetivos de negocio de la empresa.
La preocupación PRINCIPAL de un gerente de seguridad de la información que documenta una política de retención de datos formal es:
A. las buenas prácticas generalmente aceptadas en la industria.
B. los requisitos del negocio.
C. los requisitos regulatorios y legislativos.
D. la disponibilidad de almacenamiento.
C es la respuesta correcta.
Justificación:
A. Las buenas prácticas raramente son la respuesta más efectiva para una empresa. Pueden ser una guía útil, pero no suelen ser una preocupación primordial.
B. Los requisitos del negocio son una preocupación para formular las políticas de retención de datos y tendrán que cumplir los requisitos de las leyes del país.
C. La principal preocupación para el desarrollo de la política de retención de datos es la alineación con los requisitos regulatorios y legislativos locales. El cumplimiento es una necesidad del negocio, y las políticas y los procedimientos internos no pueden tener prioridad sobre las leyes del país.
D. El almacenamiento es una consideración irrelevante cuando se desarrolla una política de retención de datos, ya que deben tomarse las medidas necesarias en función de las necesidades.
¿Quién tiene la responsabilidad de clasificar la información en una empresa?
A. El custodio de datos
B. El administrador de la base de datos
C. El director de seguridad de la información
D. El propietario de los datos
D es la respuesta correcta.
Justificación:
A. El custodio de los datos es responsable del manejo y la gestión operativa de la información en consonancia con la clasificación de datos.
B. El administrador de la base de datos no es responsable de la clasificación de los datos, sino de la administración técnica de la base de datos y los requisitos del manejo que se aplican a los datos en almacenamiento y en tránsito, de acuerdo con los requisitos de cada nivel de clasificación.
C. El responsable de la seguridad de la información supervisa el proceso global de clasificación y tratamiento de datos para garantizar la conformidad con las políticas y normas de la empresa.
D. El propietario de los datos es responsable de la clasificación de los mismos y de garantizar su coherencia con los criterios de clasificación de la empresa.
¿Cuál es la función PRINCIPAL del gerente de seguridad de la información relacionada con el proceso de tratamiento y clasificación de datos dentro de una empresa?
A. Definir y ratificar la estructura de clasificación de datos de la empresa
B. Asignar los niveles de clasificación a los activos de información
C. Asegurar los activos de información en conformidad con la clasificación de sus datos
D. Confirmar que los activos de esa organización se hayan clasificado correctamente
A es la respuesta correcta.
Justificación:
A. Definir y ratificar la estructura de clasificación de datos y los procedimientos de tratamiento, en consonancia con el apetito de riesgo de la empresa y el valor de los activos de información, es la función principal del responsable de la seguridad de la información en relación con el proceso de
clasificación y tratamiento de datos dentro de la empresa.
B. La responsabilidad de asignar los niveles de clasificación a los activos de información corresponde a los propietarios de los datos y no al gerente de seguridad de la información.
C. El trabajo de asegurar los activos de información es responsabilidad de los custodios de los datos y no del gerente de seguridad de la información.
D. Confirmar la correcta clasificación de los activos de información puede ser una de las funciones del
auditor de seguridad de la información que lleva a cabo las revisiones de cumplimiento.
¿Cuál de las siguientes opciones es MAS importante para desarrollar una estrategia de seguridad?
A. Crear un ambiente positivo para la seguridad
B. Entender los objetivos clave del negocio
C. Tener una línea de reporte con la alta gerencia
D. Asignar recursos suficientes a la seguridad de la información
B es la respuesta correcta.
Justificación:
A. Un ambiente positivo para la seguridad (cultura) permite la gestión efectiva de la implementación de seguridad, pero no es tan importante durante el desarrollo de una estrategia de seguridad.
B. Entender los objetivos clave del negocio es lo más importante a la hora de desarrollar la estrategia de seguridad porque la estrategia de negocio es la que impulsa la seguridad.
C. Una línea de reporte con la alta dirección no es importante para desarrollar la estrategia de seguridad. Es necesaria para asegurarse de que la alta dirección esté informada sobre las iniciativas de seguridad y para
garantizar su compromiso.
D. La asignación de recursos es un factor de gran importancia en el desarrollo de la estrategia de seguridad.
